Dzisiaj parę słów o SPFie. Czym to jest? najprościej rzecz ujmując definiuje z jakiego serwera poczty (dokładnie adresu IP) mogą być wysyłane maila dla danej domeny. Publikuje się te definicje we wpisie serwera DNS. W wielu miejscach jest opisane jak skonfigurować : strona Lemata o SPFie. specyfikacja wraz z przykładami. SPF ma kilka zalet , wadą rozwiązania jest forwarding zabija itd. Duża zaletą jest dośc prosta konfiguracja. Nie chce tu powtarzać wszystkich za i przeciw. Chciałbym omówić sprawę SPF w slużbie walki ze spamem (chociaż do tego wcale nie został stworzony).
Czy wdrażać SPF? Wg mnie jak najbardziej tak tylko od admina zależy czy zrobimy to na ‚miękko’ czy na ‚twardo’.
Publikujemy rekordy SPF
Tu nie ma wielkiej filozofi. My publikujemy rekordy odpowiednie SPF (nie zapomnijmy o wszystkich serwerach). I admini po drugiej stronie decydują czy używać tej metody do weryfikacji czy nie. Zakładamy, że wiedzą co robią i ja chcą to niech mają, My ze swojej strony udostępniamy dane.
Wdrażamy na swoich serwerach sprawdzanie SPF
Spamassassin sprawdza SPF jeśli odpalimy plugin SPF. W pliku /etc/spamassassin/init.pre
loadplugin Mail::SpamAssassin::Plugin::SPF
i od tego momentu możemy sprawdzać rekordy SPF. Wpis w DNS może zawierać dwie informacje: czy jeśli SPF się nie zgadza ubijać bezwzględnie (-all) czy jednak trochę oszczędzić (~all). Ale na szczęście my decydujemy czy działamy na twardo czy na miękko. W SA są 3 główny reguły dotyczące SPF
describe SPF_NEUTRAL SPF: sender does not match SPF record (neutral) describe SPF_FAIL SPF: sender does not match SPF record (fail) describe SPF_SOFTFAIL SPF: sender does not match SPF record (softfail
Domyślna punktacja jest nastepująca
50_scores.cf:score SPF_FAIL 0 0.919 0 0.001 # n=0 n=2 50_scores.cf:score SPF_NEUTRAL 0 0.652 0 0.779 # n=0 n=2 50_scores.cf:score SPF_SOFTFAIL 0 0.972 0 0.665 # n=0 n=2
Tu są raczej ostrożne punktacje. Chcesz na twardo? Podbijamy tą punktację wysoko (można ale trzeba znać problemy które mogą wyniknąć). A jak chcemy na miękko możemy zrobić punktację następująco
SPF_FAIL 0.01 SPF_NEUTRAL 0.01 SPF_SOFTFAIL 0.01
Po co tak? A wtedy możemy mamy w SA zaznaczone czy SPF maila jest ok czy nie. I pisać reguły które sprawdzają pojedyncze domeny. Bardzo pomocna rzecz w walce z wysypem spoofingu wybranych adresów z domen poczta-polska, dhl,inpost itd. Te domeny nie będą forwardingować maili więc muszą zdać SPF.
Reguły wykorzystujące te metody pojawią się wkrótce.
A wszystkie pytanie, błędy najlepiej napisać w komentarzach. Niech inni tez maja:)